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(57) Abstract: The invention relates to a method of verifying the integrity of a software application that can be executed on a host 
terminal. The inventive method comprises the following steps consisting in: (i) determining at least one series of control instructions 
forming an executable certificate (4, 15) for the software application, which can be executed by the host terminal during the execution 
of the software application to be verified (1, 1 1); (ii) on the host terminal, executing the software application to be verified (1, 11), 
receiving the executable certificate (4, 15) determined during step (i) and executing the series of control instructions for the certificate 
which can be executed in the memory context of said host terminal; (iii) comparing the result thus obtained through the execution of 
the control instructions with the result expected from an authentic software application; and (iv) in the event of a positive comparison, 
continuing with the execution of the software application to be verified (1, 11). 
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avant ['expiration du delai pre\>u pour la modification des En ce qui concerne les codes a deux lettres et autres abrtvia- 
revendications, sera republiee si des modifications sont re- Hons, se referer aux "Notes explicatives relatives aux codes et 
cues abreviations" figurant au debut de chaque numero ordinaire de 

la Gazette du PCT. 



(57) Abrege : Le proceed de verification de l'integrit6 d'une application logicielle executable dans un terminal note, comprend les 
Stapes suivantes i) determiner au moins une suite destructions de controle formant certificat executable (4,15) pour l'application 
logicielle, executable par ledit terminal hote au cours de l'execution de l'application logicielle a verifier (1,1 1), ii) sur le terminal hote, 
executer l'application logicielle a verifier (1,11), recevoir le certificat executable (4,15) ainsi determine lors de l'&ape i) et executer 
la suite d'instructions de controle dudit certificat executable dans le contexte memoire dudit terminal hote, iii) comparer le resultat 
ainsi obtenu par l'execution des instructions de controle avec le resultat attendu d'une application logicielle authentique et, iv) en cas 
de comparaison positive, continuer le cours de l'execution de l'application logicielle a verifier (1,11). 
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PROCED6 ET DISPOSITIF DE VERIFICATION DE L'INTEGRITE 
D'UNE APPLICATION LOGICIELLE 

5 

La presente invention concerne la verification de l'authenticite d'une application logicielle 
executee sur un terminal bote sans necessairement feire appel a des cles de chiffrement / 
dechiffirement. 

10 Elle trouve une application g6n6rale dans l'authentification ^applications logicielles et plus 
particulierement les applications logicielles destinees a etre execut6es sur un dispositif de 
traitement de donnees, notamment un terminal hote tel qu*un decodeur de television numerique, 
un 6quipement de visualisation de contenus multimedia, un micro-ordinateur, une carte a puce, 
un assistant personnel, une console de jeux, un telephone mobile ou analogue. 

15 

On connait deja des moyens ^authentication permettant de verifier rauthenticite ou l'integrite 
^applications logicielles embarquees et executes sur des temiinaux hotes. Generalement, de 
tels moyens d ! authentification mettent en oeuvre des fonctions de hachage et/ou des algorithmes 
cryptographiques qui utilisent des donnees secretes telles que des cles privees ou secretes de 
20 chiffrement/dechiffrement cachees dans le logiciel de v&ification du terminal hote. Le plus 
souvent, ces donnees secretes sont protegees par des techniques d'offuscation destinees a rendre 
plus difficile la retro-conception. 

En pratique, de tels moyens d ! authentification embarques dans les terminaux hotes sont tout 
25 aussi vulnerables que les applications logicielles dont ils sont senses controler l'authenticite. En 
effet, un pirate averti peut op6rer des modifications malveillantes sur ces moyens 
d'authentification, afin, par exemple, de r6cuperer les donnees secretes, leurrer le systeme de 
verification ou lui faire produire, malgre lui, les resultats attendus. 

30 La presente invention rem6die a cet inconvenient. Elle porte sur un procede de verification de 
Pintegrite d'une application logicielle executable dans un terminal hote. 

Selon vine definition generate de ^invention, le procede comprend les etapes suivantes :. 

i) determiner au moins une suite d'instructions de controle formant certificat executable pour 
3 5 ladite application logicielle, 

ii) sur le terminal hote, executer Implication logicielle a v&ifier, recevoir le certificat executable 
ainsi determine lors de l'etape i), et executer la suite ^instructions de controle dudit certificat 
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executable dans le contexte memoire dudit terminal bote, 

iii) comparer le resultat aihsi obtenu par I'execution des instructions de controle avec le resultat 
attendu d'une application authentique et, 

iv) en cas de comparaison positive, continuer I'execution de l'application logicielle a verifier. 

5 

On entend ici par le terme "comparaison positive" le fait que toute action, operation, ou 
modification sur les donnees utilises par l'application logicielle a verifier ou toute action, 
operation ou modification sur le deroulement de I'execution de l'application logicielle k verifier, 
produise un comportement de l'application logicielle a verifier identique a celui qui est attendu 
1 0 par le deroulement de I'execution de l'application authentique. 

En renouvelant, a line cadence choisie, la suite d'instructions de controle du certificat executable, 
il est possible de mettre en ceuvre un nombre important de moyens d ! authentification d'une 
application et il devient quasi impossible de mettre au point des applications logicielles pirates 
15 qui dejouent systematiquement le processus de verification. 

Ainsi, le precede selon l'invention permet de verifier rint6grit<§ d'tme application logicielle 
executee sur un terminal hote avec un degre de s£curisation relativement satisfaisant vis-a-vis 
des pirates adeptes de la r£tro-conception et cela sans faire appel k des cles de chiffrement / 
20 dechif&ement ou a des composants materiels coftteux. 

Selon une realisation, la suite ^instructions de controle est choisie de telle sorte que Fetat du 
contexte memoire d'une application logicielle authentique apr£s I'execution de la suite 
destructions de controle est identique (sans modification) k l'etat du contexte memoire de 
25 l'application logicielle avant I'execution de la suite ^instructions de controle. Ainsi la mise en 
oeuvre du proced6 selon 1'invention n'apporte pas de dysfonctionnement au niveau du 
deroulement de l'application logicielle k verifier si cette derntere est authentique. 

Selon une realisation, dans laquelle le terminal h6te est 6quip£ d f un processeur, la suite 
30 . ^instructions de controle formant certificat executable est codee en langage interpretable par 
ledit processeur du terminal hote. 

En variante, dans laquelle le terminal hote est equipe d'une machine virtuelle apte a emuler un 
processeur, la suite ^instructions de controle formant certificat executable est codee en langage 
3 5 interpretable par la machine virtuelle du terminal hote. 



En pratique, le contexte memoire d'execution d'une application logicielle est constitue, entre 
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autre, des adresses en memoire des symboles (fonctions, variables,... ), des instructions 
executables, des donnees, et de 1'etat de la pile d ! execution de Implication. Ces valeurs sont 
uniques pour chaque application informatique en cours d'execution et pour chaque type de 
processeur ou de machine virtuelle. 

5 

Dans Tetape i) il est prevu d'etablir, dans un environnement securise, tine carte du contexte 
memoire de l'application logicielle authentique en covirs d'execution, de d^teaminer, en utilisant 
les valeurs de cette carte memoire, une suite d'instructions de controle formant certificat 
executable. 

10 

Dans l'etape ii), le dispositif d'acheminement du certificat executable a destination du terminal 
hote est loge dans un circuit electronique de traitement physiquement separ6 du terminal hote. 
Toujours dans l'etape ii) la recuperation des valeurs du contexte memoire d'execution se fait par 
lecture des valeurs aux adresses des differentes zones de m6moire du terminal hote. Dans ces 
15 zones sont logees les instructions executables intrinsSques a l'application, les valeurs des 
variables et les valeurs des references aux fonctkms de l'application k contrdler. 

A l'etape iii), le resultat obtenu par l'execution de ladite suite d'instructions de controle est une 
signature de l'application k verifier. Cette signature est calculee par ladite suite d ! instructions de 
20 controle qui utilise les valeurs du contexte memoire de Implication logicielle k verifier en cours 
d'execution. De preference, l'application logicielle comprend des instructions permettant 
d'inserer et d'executer dans son contexte memoire ladite suite d'instructions en substituant au 
moins une adresse d' execution d'une instruction de ladite application logicielle par au moins 
l'adresse d'une instruction de la suite d'instructions de controle formant certificat executable. 

25 

Selon une autre realisation, la suite d'instructions de controle fonnant certificat executable est 
transportee dans un flux de donnees necessaire a l'execution de l'application logicielle a verifier. 
Pour forcer l'execution de la suite d'instructions dudit certificat executable, lesdites donnees 
utiles sont prealablement protegees par une methode de chififrement Le dechiffrement de ces 

30 donnees est correctement effectu6 par ladite suite d'instructions de contr61e du certificat 
executable si l'application k verifier est une application authentique. Si le procede de chiffrement 
utilise une cie, cette demiere est produite par les instructions de controle avec des valeurs du 
contexte memoire de l'application logicielle k verifier, valeurs formant signature de l'application 
logicielle a verifier. Les operations pour obtenir la cie de chiffrement sont codees dans la suite 

3 5 d'instructions du certificat executable. 



En variante, la methode de protection est sans cie, la suite d'operations pour obtenir l'accessibilite 
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des donnees est dans la suite d'instructions de controle du certificat executable. En. pratique, la 
protection des donnees necessaires au fonctionnemeht de l'application logicielle a verifier est 
entreprise dans un environnement s£curise avant que ces donnees ne soient transmises. La 
methode de protection,, avec ou sans cle, doit etre reversible. 

5 

Selon encore une autre realisation, dans laquelle l'ex£cution de l'application logicielle fait appel a 
une carte a puce ou a tout autre circuit securise pour fonctionner, la suite ^instructions de 
controle est logee dans la carte a puce (ou le circuit securise) et envoy6e a l'application logicielle 
a verifier, l'application logicielle etant apte a recuperer et ex6cuter ladite suite d'instructions de 
1 0 controle ainsi envoyee avec les donnees dont elle a besoin pour fonctionner. En pratique, l'accds 
a des donnees transmises par la carte a puce (ou le circuit securis6) doit etre necessaire h 
l'application logicielle k verifier pour que celle-ci se . cqmporte de fa9on identique a une 
application authentique. 

15 Selon une autre realisation, a la suite d'une verification negative de l'integrite de l'application 
logicielle a verifier, le certificat executable execute des instructions faisant appel a des fonctions 
appartenant a une autre application. 

La presente invention a egalement pour objet un dispositif de verification de l'integrite d'une 
20 application logicielle pour la mise en oeuvre du proc£de selon l'invention, 

Selon une caract£ristique impbrtante de l'invention, le dispositif de verification comprend des 
moyens de traitement aptes a determiner au moins une suite ^instructions de controle formant 
certificat executable pour l'application logicielle, executable par ledit temrinal hote au cours de 
25 l'execution de l'application logicieile k verifier, et des moyens de comparaison pour comparer le 
resultat de Texecution du certificat executable sur le comportement de l'application logicielle k 
verifier, avec le resultat attendu du comportement d'une application authentique, et des moyens 
de modifier Texecution de l'application logicielle a verifier en fonction du resultat de la 
comparaison. 

30 

Selon une realisation, le dispositif de verification comprend une carte h puce ou tout autre circuit 
securise apte a contenir d f une part, la suite d'instructions de controle formant certificat 
executable et.d'autre part, une application realisant le test de verification. Le terminal bote est 
equipe d'un lecteur de carte a puce (ou d ! un moyen de communication avec le circuit s6curis6) et 
^ les moyens d'execution de l'application logicielle a verifier sont agences pour charger et executer 
dans son* contexte memoire la suite d'instructions formant certificat. L'application de verification 
dans la carte a puce ou le circuit securis6 est agenc6e de fa?on a modifier le d6roulernent normal 



WO 2004/059450 PCT7FR2003/003877 




de Tex6cution de Implication logicielle a verifier si le resultat de Fexecution de la suite 
^instructions de controle n'est pas transmis, dans des conditions d&Bnies prealablement, a 
Tapplication de verification dans la carte k puce ou du circuit sScurise, ou si le r6sultat de la 
verification s'avere negatif. 

5 

Selon une variante, le dispositif est apte a determiner une pliiralite de certificats executables 
differents les uns des autres selon une cadence et/ou condition choisie. En pratique, le terminal 
hote appartient au groupe forme par les dispositifs de traitement des donn6es, les decodeurs de 
television numerique, les equipements de visualisation de contenus multimedias, les micro- 
10 ordinateurs, les cartes k puces, les assistants personnels, les consoles de jeux, les telephones 
mobiles ou analogues. 

D'autres caracteristiques et avantages de Tinvention apparaitront a la lumiere de la description 
d&aillee ci-apres et des dessins dans lesquels: 
15 - la figure 1 est une vue schematique illustrant la verification d'une application logicielle dont les 
donnees utiles contiennent le certificat executable, selon Tinvention, et 

- la figure 2 est une vue schematique illustrant la verification d'une application logicielle utilisant 
une carte a puce selon Tinvention. 

20 En pratique, les termes "integre" et "authentique" sont ici utilises indifFeremment pour une 
application logicielle. 

On entend ici par "certificat executable" une suite ^instructions de controle ex6cutables dans le 
contexte memoire d'une application logicielle en cours d f ex6cution et dont Tex6cution produit 
25 des effets tels que Texecution d'une Tapplication logicielle a verifier, si cette demiere est integre, 
a un comportement identique k celui qui est attendu. 

En reference a la figure 1, Implication logicielle k verifier 1 est embarquee dans un terminal hote 
(non represent^). Par exemple, le terminal hote appartient au groupe forme par les dispositifs de 
30 traitement des donnees, les decodeurs de television numerique, les equipements de visualisation 
de contenus multim6dias, les micro-ordinateurs, les cartes a puces, les assistants personnels, les 
consoles de jeux, les telephones mobiles ou analogues. 

En pratique, Tapplication logicielle a verifier 1 traite 3 des donnees prealablement protegees 2, 
35 c'est-a-dire non traitables par Papplication a verifier tant que des instructions de controle du 
certificat executable que Ton decrira plus en detail ci-apres n'ont pas authentifiees Tapplication a 
verifier. Une methode pour rendre non accessibles ces donnees consiste a les chiffrer. Toute 
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autre methode de protection reversible est envisageable. 

Ces donnees protegees 2 contiennent 7 un certificat executable 4 renfermant une suite 
^instructions de controle non protegees, qui sont ex6cutees 5 par replication a verifier L En 
5 pratique, les instructions de controle du certificat executable 4 sont codees dans le langage du 
processeur du terminal hote, encore appel6 langage machine. En variante, les instructions du 
certificat executable 4 peuvent aussi etre codees dans le langage d'une machine virtuelle, emulant 
. le comportement d'un processeur. 

10 Ces instructions de controle du certificat executable 4 en langage machine sont des structures 
binaires prealablement determinees avant que celles-ci ne soient transmises a l'application 
logicielle a verifier. 

Les instructions de contrdle du certificat executable 4 sont choisies de fa9on k ce que seule une 
1 5 application logicielle authentique puisse les executer pour produire un r6sultat identique a celui 
qui est attendu. Comme on le verra plus en detail ci-apres, 1'absence de dysfonctionnement de 
l'application logicielle authentique est obtenue en choisissarit une suite d'instructions de controle 
de telle sorte que l'etat du contexte memoire d'une l'application logicielle a verifier 1 apres 
1'execution de la suite d ! instructions de contr61e soit identique k l'&at du contexte memoire de 
2 ^ l'application logicielle avant l T ex£cution de la suite d'instructions de controle. 

Le certificat executable 4 peut aussi etre insere dans le flot de .donnees que l'application 1 est 
sensee traiter. L'insertion de certificats ex6cutables dans un flot de donn6es peut correspondre 
au cas oil il est necessaire d'authentifier une application de traitement de flux multimedia 
25 proteg6, accessible h 1'utilisateur k la condition que qe. dernier se soit acquitte des obligations 
telles que definies par le vendeur des contenus. La source du flux multimedia peut etre un point 
d'emission d'un reseau de diffusion, la memoire persistante du terminal hote, ou oacoxe une 
unite de memoire extractible du terminal hote. 

30 Les instructions de controle du certificat executable 4 sont choisies pour calculer 6 une 
signature 8 de l'application k controler 1, en utilisant 9 le contexte memoire de l'application k 
controler 1, en cours d'execution. L'utilisation du contexte memoire par les instructions de 
. controle est realise en allant chercher les valeurs de certains symboles (variables, fonctions, 
instructions ex6cutables) de l'application k verifier en cours d'execution. La recuperation de ces 

35 valeurs depend entre autre du modele m&noire implemente dans le processeur du terminal hote. 

En pratique, la suite d'instructions de controle du certificat executable 4 produit 6 une signature 



WO 2004/059450 PCT/FR2003/003877 




8 qui depend 9 du contexte memoire de Implication logicielle a verifier 1 et utilise cette 
signature pour lever la protection 10 des donnees protegees 2. Si Tapplication logicielle est 
authentique, les donnees 2 sont rendues accessibles et leur traitement 3 par l'application 

logicielle a verifier 1 produira un resultat identique k celui d'une application authentique. 

5 * ' ' 

Dans le cas ou le certificat executable 4 contenant les instructions de controle est insere dans un 
flot de donnees, il est necessaire de forcer l'application a execute* ces instructions. Les 
instructions de controle sont alors programmees pour dechiffrer une partie du flot de donn6es 
que l'application a verifier doit traiter. Cela necessite un traitement prealable du flot de donnees 

^ par chif&ement avant que ce flot ne soit accede, pour traitement, par l'application a verifier. 
Ualgorithme de d6chiffrement peut etre implemente dans les instructions de controle ou etre 
disponible sous forme de fonction implementee dans le terminal, et appetee par les instructions 
de controle. Les cles, si utilisees par 1'algorithme de d6chiffrement, sont calcul6es par les 
instructions de controle en utilisant des valeurs du contexte memoire prealablement definies de 

I 5 l'application en cours d'ex6cution. 

En reference a la figure 2, l'application logicielle a verifier 1 1 interagit 12 avec un circuit securis6 
1 3, de type carte k puce ou analogue. 

20 La carte a puce 13 transmet 19 un certificat executable 15 contenant des instructions de controle 
qui sont chargees et ex£cutees 16 par l'application logicielle a verifier 11, Ainsi, pour une 
application 11 necessitant 12 une carte a puce 13 pour fonctionner, les instructions de controle 
1 5 sont stock£es dans la carte k puce 13 et envoyees a Papplication k controler 1 1 par le biais du 
lien interactif 1 2. 

25 

L'application k contrdler 11 utilise 21 pour fonctionner des donnees 20* qu'elle recupdre par 
interaction 12 avec la carte k puce 13. Ces donnees 20 contiennent 22 le certificat executable 15. 
Les instructions de controle du certificat executable 15, lorsqu'elles sont stockees sur la carte k 
puce 13, sont chargees par l f application a contr61er 1 1 de fa?on k ce que celle-ci les execute 16 
30 selpn le principe expose en reference a la figure 1 . 

Une signature 18 de l'application logicielle a verifier est produite 17 par les instructions de 
controle du certificat executable en utilisant 14 le contexte memoire de l'application logicielle k 
controler. 

Les instructions de controle du certificat executable interagissent 19 avec le circuit s6curis6 13 
de fa?on a ce que la signature 18 de l'application controlee 11 soit transmise a une autre 
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application de verification 24 hebergSe sur la carte a puce 13, corisideree ici comme un 
environnement securis& ^application de verification 24 dans la carte k price maintient pour 
chaque type de processeur et pour chaque application a controler, une table de correspondance 
entre les instructions de controle executables 15 et les r&sultats attendus. 

5 

Cette table de correspondance pennet de verifier 23 la validity de la signature calculfe par le 
certificat executable 15. Si le resultat de la verification est negatif, Implication de verification 
hebergee dans la carte a puce interagit 12 avec Implication k contrdler afin de modifier le 
fonctionnement de cette derniere. Si la verification est positive, la carte h puce 13 produit les 
1 0 donnees 20 dont Tapplication logicielle 11a besoin pour fonctionner 2 1 . 

Dans un mode de realisation, les. certificats heberges dans la carte a puce ou le circuit securise 
changent selon une cadence ou condition choisie. 

15 



20 



25 



30 



35 



WO 2004/059450 PCT/FR2003/003877 



REVENDICATIONS 

1. Procede de verification de l f integrit6 d'une application logicielle executable dans un 
5 tenninal hote, caracterise en ce qu'il comprend les etapes suivantes : 

i) determiner au moins une suite ^instructions de controle formant certificat executable (4,15) 
pour Tapplication logicielle, executable par ledit terminal hote au cours de l'execution de 
Implication logicielle a verifier (1 ,1 1), 

ii) sur le terminal hote, ex6cuter l'application logicielle a verifier (1,11), recevoir le certificat 
10 executable (4,15) ainsi determine lors de l'etape i), et executer la suite d ! instructions de controle 

dudit certificat executable dans le contexte memoire dudit terminal hote, 

iii) comparer le resultat ainsi obtenu par l ! ex6cution des instructions de controle avec le resultat 
attendii dhine apphcation logicielle authentique et, 

iv) en cas de comparaison positive, continuer le cours de l'execution de Tapplication logicielle a 
15 verifier (1,11). 

2. Procede selon la revendication 1, dans lequel le terminal hote est equipe d'un 
processeur caracterise en ce que la suite d ! instructions de controle formant certificat (4, 15) est 
codee en langage interpr&able par ledit processeur du terminal hote. 

3. Proc&te selon la revendication 1, dans lequel' le terminal h6te est 6quipe d'une 
machine virtuelle apte a emuler un processeur, caracterise en ce que la suite ^instructions de 
controle formant certificat (4, 15) est cod6e en langage interpretable par la machine virtuelle du 
terminal hote. 

4. Proced6 selon Tune des revendications 1 a 3, dans lequel le certificat executable 
comporte une partie des traitements necessaire au bon fonctionnement de Implication 
authentique. 

30 5 p roc ^d6 selon Tune des revendications 1 a 4, caracterise en ce que dans l'etape i) il 

est pr6vu d'etablir, dans un environnement securise, une carte du contexte memoire de 
^application logicielle authentique en cours d'exfcution, et de determiner, apartir des valeurs de 
cette carte memoire, la suite d'instructions de controle destin6e k former le certificat executable 
(4,15). 

35 

6. Proc&te selon Tune des revendications 1 & 5, caracterise en ce que dans l'etape ii), le 
certificat executable (4, 15) a destination du terminal hote emane d f un circuit electronique de 



20 



25 
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traitement physiquement s6par6 du terminal hote. 

7. Proced6 selon Tune des revendications 1 & 6, caractirise en ce que dans T6tape ii) la 
recuperation des valeurs du contexte memoire d f ex£cution se fait par lecture des valeurs aux 

5 adresses des differentes zones de la m6moire du terminal hote, ces zones contenant les 
instructions executables et les donnSes intrins&ques a Tapplication h verifier. 

8. Procede selon Tune des revendications 1 & 7, caracterisi en ce que dans l'6tape iii), le 
resultat obtenu par Texecution de ladite suite ^instructions de controle (4,15) produit une 

1 0 signature de Tapplication k verifier, cette signature etant calculee par ladite suite dinstructions de 
controle (4, 15) qui utilise les valeurs du contexte memoire de rapplication logicielle a v&ifier en 
cours d'execution de Implication. 

9. Proced6 selon Tune des revendications precedentesj caracterise en ce que 
15 Tapplication logicielle comprend des instructions permettant de charger et dex^cuter dans sa 

carte de contexte memoire ladite suite ^instructions de controle (4, 15) en substituant au moins 
une adresse d'execution d'une instruction de ladite application logicielle par au moins une 
adresse ^instruction de la suite ^instructions formant certificat 

20 jo. Procede selon Tune des revendications precedentes, caracterise en ce que la suite 

destructions de controle (4, 15) est choisie de telle sorte que Tetat du contexte memoire d'une 
Tapplication logicielle apres Texecution de la suite ^instructions de controle est identique et/ou 
sans modification de Tetat du contexte m&noire de Implication logicielle avant Tex6cution de la 

suite dinstructions de controle. 
25 " 

11. Procede selon Tune quelconque des revendications 1 & 10, caracterise en ce que la 
suite dinstructions formant certificat (4,15) est transport^ dans un flux de donn6es n6cessaire a 
Texecution de Tapplication logicielle a verifier. 

30 12. Procede selon Tune quelconque des revendications 1 a 11, caracterise en ce que 

1'application logicielle a verifier est .tout ou partie chififrSe, le dechififrement correct de 
TappUcation logicielle etant realise en cas d'int6grite de Tapphcation logicielle a verifier. 

13. Dispositif de verification de Tintegrite dune application logicielle destin6e a etre 
35 execut6e dans un terminal hote pour la mise en oeuvre du proced6 selon Tune des revendications 
1 a 12, caracterise en ce qu'H comprend des moyens de traitement aptes a determiner au moins 
une suite dinstructions de controle (4,15) pour Tapplication logicielle (1,11), executable par ledit 
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terminal h6te au cours de l'exScution de rapplication logicielle, et formant un certificat 
executable de ladite application logicielle, des moyens d'execution pour executer la suite 
^instructions formant certificat (4,15) sur le terminal hote au cours de l'execution de 
rapplication logicielle, des moyens de comparaison pour comparer le r6sultat ainsi obtenu par 
5 Texecution des instructions de controle avec le resultat attendu d'une application authentique, et 
des moyens aptes en cas de comparaison positive , a continuer l'execution de rapplication 
logicielle k verifier (1,1 1). 

14. Dispositif selon la revendication 13, caracterise en ce ?« ! il comprend une carte a 
10 puce ou tout autre circuit securise apte k contenir la suite ^instructions de contr61e formant 

certificat (4, 1 5), en ce que le terminal hote est 6quipe d'un lecteur de carte a puce ou d'un moyen 
de communication avec le circuit securis6 et en ce que les moyens ^execution de Implication 
logicielle sont agences pour aller chercher, dans la carte a puce ou le circuit securise, la suite 
^instructions formant certificat au cours de l'execution de rapplication logicielle a verifier. 

15 

15. Dispositif selon la revendication 14, caracterise en ce que le terminal hote est apte k 
renvoyer a la carte a puce ou au circuit securise la signature produite par la suite ^instructions 
de controle, et en ce que la carte k puce ou le circuit securise comprend en outre une application 
logicielle de verification apte k valider ou invalider l'authenticite de Implication logicielle a 

20 verifier en fonction du resultat de la comparaison entre la signature produite par la suite 
^instructions de controle et une valeur de la signature connue et prealablement stock6e dans la 
carte a puce ou dans le circuit s6curis6. 

16. Dispositif selon la revendication 15, caracterise en ce qu'en cas de comparaison 
25 negative, la carte a puce est apte a modifier le fonctionnement de Implication logicielle a verifier. 

17. Dispositif selon la revendication 15 oula revendication 16, caracterise en cequ'en 
cas de non transmission de la signature conformement a des conditions pr&i&erminees, la carte 
a puce est apte a modifier le fonctionnement de rapplication logicielle a verifier. 

30 

18. Dispositif selon l'une des revendications 13 k 17, caracterise en ce qu'en cas de 
comparaison negative, le dispositif comprend en outre des moyens aptes a empecher le 
fonctionnement de rapplication logicielle dans le terminal h6te. 

35 19. Dispositif selon l ! une des revendications 13 a 18, caracterise en ce que le terminal 

hote appartient au groupe forme par les dispositifs de traitement des donntes, les d^codeurs de 
television numerique, les equipements de visualisation de contenus multimedias, les micro- 
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ordinateurs, les cartes a puces, les assistants personnels, les consoles de jeux, les telephones 
mobiles ou analogues. 

20. Dispositif selon Tune des revendications 13 a 19, caracterisi en ce que les moyens 
de traitement sont aptes a determiner une pluralit6 de certificats ex6cutables (4, 1 5), differents les 
un par rapport aux autres selon une cadence et/ou condition choisie. 

21. Dispositif selon Tune des revendications 13 a 20,* caracterise en ce que les moyens 
de traitement sont aptes a determiner unepluralite de certificats executables (14, 15), differents 
les uns par rapport aux autres selon une cadence et/ou une condition choisie. 
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